NIS2-Richtlinie: Sind Sie bereit für die neuen Cybersicherheitsanforderungen?
Warum hat die Kommission eine neue NIS-Richtlinie vorgeschlagen?
Die NIS-Richtlinie, das erste Cybersicherheitsrecht der EU, zielt darauf ab, die Widerstandsfähigkeit von Netz– und Informationssystemen in der Union gegen Cybersicherheitsrisiken zu verbessern. Trotz ihrer bemerkenswerten Erfolge hat die NIS-Richtlinie Einschränkungen aufgezeigt. Der digitale Wandel der Gesellschaft hat die Bedrohungslandschaft erweitert. Es gibt neue Herausforderungen, die angepasste und innovative Antworten erfordern.
Um die Auswirkungen zu analysieren und die Mängel der NIS-Richtlinie aufzudecken, hat die Kommission die Interessenträger konsultiert und folgende Probleme ermittelt:
- unzureichende Cyberresilienz vieler Unternehmen, die in der EU tätig sind
- inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Wirtschaftssektoren
- unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten
- fehlende gemeinsame Krisenreaktion
Infolgedessen hat die Kommission im Dezember 2020 eine überarbeitete Reihe zukunftssicherer Vorschriften vorgeschlagen, die darauf abzielen, das Niveau der Cyberresilienz in der Union zu stärken, auf die die Mitgesetzgeber am 13. Mai 2022 eine politische Einigung erzielt haben und die neue Richtlinie Ende November 2022 förmlich angenommen haben, um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung reagieren zu können.
Was sind die Kernelemente der NIS II-Richtlinie?
Die NIS2-Richtlinie zielt darauf ab, die Mängel der bisherigen Vorschriften zu beheben, sie an den aktuellen Bedarf anzupassen und zukunftssicher zu machen. Zu diesem Zweck erweitert die Richtlinie den Anwendungsbereich der bisherigen Vorschriften, indem neue Sektoren auf der Grundlage ihres Digitalisierungsgrads und ihrer Vernetzung und ihrer Bedeutung für Wirtschaft und Gesellschaft hinzugefügt werden, indem eine klare Größenschwellenregel eingeführt wird, was bedeutet, dass alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen werden. Gleichzeitig lässt sie den Mitgliedstaaten einen gewissen Ermessensspielraum, kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil zu ermitteln, das auch unter die Verpflichtungen der neuen Richtlinie fallen sollte.
Mit der neuen Richtlinie wird auch die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beseitigt. Unternehmen würden nach ihrer Bedeutung klassifiziert und in zwei Kategorien unterteilt: wesentliche und wichtige Einrichtungen, die unterschiedlichen Aufsichtsregelungen unterliegen. Sie stärkt und rationalisiert die Sicherheits– und Berichtspflichten für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt, der eine Mindestliste grundlegender Sicherheitselemente enthält, die angewendet werden müssen. Mit der neuen Richtlinie werden genauere Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen eingeführt.
Darüber hinaus befasst sich NIS2 mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, indem einzelne Unternehmen aufgefordert werden, Cybersicherheitsrisiken in den Lieferketten und Lieferantenbeziehungen anzugehen. Auf europäischer Ebene stärkt die Richtlinie die Cybersicherheit in der Lieferkette für wichtige Informations– und Kommunikationstechnologien. Die Mitgliedstaaten können in Zusammenarbeit mit der Kommission und der ENISA koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten auf Unionsebene durchführen und dabei auf dem im Rahmen der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen verfolgten erfolgreichen Ansatz aufbauen.
Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.
Außerdem wird die Rolle der Kooperationsgruppe bei der Gestaltung strategischer politischer Entscheidungen gestärkt und der Informationsaustausch und die Zusammenarbeit zwischen den Behörden der Mitgliedstaaten gestärkt. Darüber hinaus wird die operative Zusammenarbeit innerhalb des CSIRT-Netzes verbessert und das europäische Netz der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) eingerichtet, um das koordinierte Management groß angelegter Cybersicherheitsvorfälle und –krisen zu unterstützen.
NIS2 schafft auch einen grundlegenden Rahmen mit verantwortlichen Schlüsselakteuren für die koordinierte Offenlegung von Schwachstellen für neu entdeckte Schwachstellen in der gesamten EU und schafft eine EU-Schwachstellendatenbank für öffentlich bekannte Schwachstellen in IKT-Produkten und IKT-Diensten, die von der EU-Agentur für Cybersicherheit (ENISA) betrieben und gewartet werden soll.
Welche Sektoren und Einrichtungen deckt NIS II ab?
Das NIS2 umfasst Unternehmen aus den folgenden Sektoren:
- Sektoren mit hoher Kritikalität: Energie (Strom, Fernwärme und Fernkälte, Öl, Gas und Wasserstoff); Verkehr (Luft, Schiene, Wasser und Straße); Banken; Finanzmarktinfrastrukturen; Gesundheit einschließlich Herstellung von Arzneimitteln und Impfstoffen; Trinkwasser; Abwasser; digitale Infrastruktur (Internet-Austauschstellen; DNS-Dienstleister; TLD-Namensregister; Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Netze für die Bereitstellung von Inhalten; Vertrauensdiensteanbieter; Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste); IKT-Dienstleistungsmanagement (verwaltete Dienstleister und Anbieter von Managed Security-Diensten), öffentliche Verwaltung.
- Weitere kritische Sektoren: Post– und Kurierdienste; Abfallbewirtschaftung; Chemikalien; Lebensmittel; Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten; digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und Social-Networking-Service-Plattformen) und Forschungseinrichtungen.
Wie sollen die neuen Regelungen durchgesetzt und überwacht werden?
Die neue NIS-Richtlinie stellt die Aufsicht und Durchsetzung in den Mittelpunkt der Aufgaben der zuständigen Behörden und schafft einen kohärenten Rahmen für alle Aufsichts– und Durchsetzungstätigkeiten in allen Mitgliedstaaten.
Um die Beaufsichtigung zu stärken, die zur Gewährleistung einer wirksamen Einhaltung beiträgt, stellt das NIS2 eine Mindestliste von Aufsichtsmitteln zur Verfügung, mit denen die zuständigen Behörden wesentliche und wichtige Unternehmen beaufsichtigen können. Dazu gehören regelmäßige und gezielte Audits, Vor– und Nachprüfungen, Informationsanfragen und Zugang zu Dokumenten oder Beweismitteln.
Darüber hinaus sieht die neue Richtlinie eine Differenzierung der Aufsichtsregelungen zwischen wesentlichen und wichtigen Einrichtungen vor, um ein ausgewogenes Verhältnis der Verpflichtungen sowohl der Unternehmen als auch der zuständigen Behörden zu gewährleisten.
Was die Durchsetzung betrifft, so gab es bisher in den Mitgliedstaaten insgesamt eine Zurückhaltung, Sanktionen gegen Einrichtungen zu verhängen, die keine Sicherheitsmaßnahmen ergreifen oder Vorfälle melden. Dies kann negative Folgen für die Cyberresilienz von Unternehmen haben. Um die Durchsetzung wirksam zu gestalten, wird mit der neuen Richtlinie ein kohärenter Rahmen für Sanktionen in der gesamten Union geschaffen. Sie legt daher eine Mindestliste verwaltungsrechtlicher Sanktionen für Verstöße gegen die in der NIS2-Richtlinie festgelegten Verpflichtungen für das Cybersicherheitsrisikomanagement und die Berichterstattung fest. Diese Sanktionen umfassen verbindliche Anweisungen, die Anordnung zur Umsetzung der Empfehlungen eines Sicherheitsaudits, die Anordnung, Sicherheitsmaßnahmen mit den NIS-Anforderungen in Einklang zu bringen, und Verwaltungsbußgelder. In Bezug auf Geldbußen unterscheidet die neue NIS-Richtlinie zwischen wesentlichen und wichtigen Stellen. In Bezug auf wesentliche Einrichtungen sind die Mitgliedstaaten verpflichtet, eine bestimmte Höhe von Geldbußen vorzusehen, insbesondere einen Höchstbetrag von mindestens 10 000 000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist. In Bezug auf wichtige Einrichtungen schreibt NIS2 vor, dass die Mitgliedstaaten eine Geldbuße von höchstens 7 000 000 EUR oder mindestens 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsehen, je nachdem, welcher Wert höher ist.
Bei der Ausübung ihrer Durchsetzungsbefugnisse sollten die zuständigen Behörden den besonderen Umständen des jeweiligen Falles, wie der Art, der Schwere und der Dauer des Verstoßes, dem entstandenen Schaden oder dem entstandenen Schaden, dem vorsätzlichen oder fahrlässigen Charakter des Verstoßes gebührend Rechnung tragen.
Um eine wirkliche Rechenschaftspflicht für die Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu gewährleisten, führt das NIS2 Bestimmungen über die Haftung natürlicher Personen ein, die Führungspositionen in den in den Anwendungsbereich der neuen NIS-Richtlinie fallenden Unternehmen innehaben.
Wie geht es weiter?
Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 (21 Monate nach Inkrafttreten der NIS2) umsetzen. Die Kommission muss dann das Funktionieren der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 darüber Bericht erstatten.
(Quelle: EU-Kommission/MD)